資安業者Fortinet週三(10月23日)發布公告,揭露網路設備管理平臺FortiManager重大漏洞CVE-2024-47575(也被稱做FortiJump),並警告已有實際利用的情況,資安業者Mandiant在公告後隔天揭露,他們在4個月前就掌握到駭客攻擊行動。
資安業者Mandiant表示,他們發現名為UNC5820的駭客組織,於6月27日就開始嘗試利用上述漏洞攻擊FortiManager,從而將受到管理的FortiGate防火牆組態資料流出。這些詳細資料包含使用者名稱及經過雜湊處理的密碼,攻擊者有機會進一步對FortiManager下手,並對受到管理的其他Fortinet裝置進行橫向移動,進而對企業環境發動進一步攻擊。
不過,根據研究人員取得的情報,他們尚未發現駭客利用漏洞進行橫向移動的跡象,而且也沒有後續活動,對於攻擊者的意圖或是地理位置,目前仍不得而知。
他們先後看到兩次漏洞利用的情況,第一次發生在6月27日,多臺FortiManager裝置收到來自特定IP位址及541埠通訊協定的流量,幾乎在同一時間,攻擊者將多種Fortinet設備的組態配置檔案,打包成Gzip壓縮檔/tmp/.tm。
到了9月23日,研究人員再度於相同組織看到漏洞利用的跡象,而且,這兩次事故有個奇怪的模式,那就是駭客在壓縮檔打包完成不久,就產生對外流量。
其中,在第2次利用漏洞的時候,攻擊者將自己的裝置向FortiManager進行註冊。研究人員提及,一旦攻擊者利用這項漏洞對FortiManager下手,該設備的管理主控臺就有可能出現未經授權的「裝置」。
雖然攻擊者的動機仍不明朗,但Mandiant與Fortinet仍持續合作,針對各行各業超過50個可能會出現大規模攻擊的FortiManager裝置著手調查,並呼籲將FortiManager曝露在網際網路的企業,應著手調查是否有遭到入侵的跡象。
熱門新聞
2024-10-24
2024-10-22
2024-10-23
2024-10-21
2024-10-23